Scopri anche

• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• Vulnerabilità WhisperPair: il rischio critico per milioni di auricolari Bluetooth
• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• iOS 26: Cali di Autonomia della Batteria e Razionalizzazione Tecnica Secondo Apple
• Vulnerabilità di sicurezza in Google Gemini: l'analisi tecnica degli attacchi via Calendar
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• Vulnerabilità Bluetooth: cuffie e dispositivi a rischio spionaggio senza aggiornamenti
• Google Chrome si rinnova con l'integrazione di Gemini: il browser diventa assistente AI
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• Notepad++: Vulnerabilità WinGup e dirottamento aggiornamenti da parte di hacker statali
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Compromissione dell'infrastruttura di aggiornamento di Notepad++ da parte di hacker statali
• Apple Sceglie Google Gemini per il Nuovo Siri: Analisi della Partnership
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Samsung rilascia aggiornamento sicurezza per Galaxy S10, S20 e S21 nel 2026
• Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
• Accordo Apple-Google su Gemini: l'analisi tecnica e le reazioni di Musk
• Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
• iOS 26.2: sicurezza e nuove funzionalità per iPhone compatibili

Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni

Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni

La scoperta della falla sistemica

⬆ Torna su Un team di ricercatori dell'Università KU di Lovanio, in Belgio, ha identificato una famiglia di vulnerabilità critiche denominate collettivamente WhisperPair. Queste falle di sicurezza interessano l'ecosistema degli accessori audio Bluetooth e sfruttano le debolezze insite nell'implementazione di Google Fast Pair, la tecnologia progettata per facilitare la sincronizzazione immediata tra dispositivi e accessori. La problematica non è limitata a un singolo produttore, ma rappresenta un fallimento sistemico che coinvolge centinaia di milioni di dispositivi attualmente in commercio. Tra i prodotti interessati figurano dispositivi di punta come le Google Pixel Buds Pro 2, le cuffie Sony della serie WH-1000XM (incluse le versioni XM4, XM5 e XM6) e prodotti di brand come OnePlus e Nothing.

Meccanismo dell'attacco WhisperPair

⬆ Torna su Il cuore del problema risiede nel processo di accoppiamento Bluetooth. Normalmente, per avviare la procedura Fast Pair, un dispositivo "cercatore" invia un messaggio a un dispositivo "fornitore" manifestando l'intenzione di accoppiarsi. Secondo le specifiche di sicurezza, il dispositivo fornitore dovrebbe ignorare tali richieste se non è stato posto esplicitamente in "modalità di accoppiamento" dall'utente. I ricercatori hanno però riscontrato che molti dispositivi non riescono a far rispettare questo controllo nella pratica. Un aggressore posizionato entro 14 metri dalla vittima può sfruttare questa mancanza di verifica per stabilire una connessione Bluetooth standard in una mediana di soli 10 secondi, bypassando completamente il consenso dell'utente.

Conseguenze pratiche della vulnerabilità

⬆ Torna su Una volta stabilita la connessione non autorizzata, l'attaccante ottiene il controllo completo dell'accessorio audio. Le possibilità includono la riproduzione di suoni ad alto volume, l'intercettazione dell'audio ambientale tramite il microfono integrato e, scenario particolarmente insidioso, il tracciamento della posizione fisica della vittima. Quest'ultima funzione sfrutta la rete globale Find Hub di Google. Se un paio di cuffie non è mai stato associato a un account Google, un attaccante può effettuare l'associazione al posto della vittima. Da quel momento, utilizzando la rete di smartphone Android che passano nelle vicinanze, gli spostamenti possono essere ricostruiti con precisione sufficiente per capire abitudini e luoghi frequentati.

Limiti e condizioni dell'attacco

⬆ Torna su L'attacco WhisperPair presenta alcune limitazioni pratiche. L'operazione deve avvenire in tempi rapidi e in prossimità della vittima, entro una distanza paragonabile a quella di una fermata dell'autobus. Inoltre, quando gli auricolari sono chiusi nella custodia, l'attacco non può essere portato a termine. La vittima potrebbe visualizzare una notifica di tracciamento indesiderata, ma si tratta di un avviso non immediato che potrebbe essere scambiato per un bug del sistema. Questo ritardo nell'individuazione del problema espone la vittima potenzialmente per periodi prolungati.

Portata trasversale del problema

⬆ Torna su Un aspetto cruciale della vulnerabilità è la sua natura trasversale. WhisperPair risiede nel firmware dell'accessorio stesso e non nello smartphone, il significa che anche gli utenti iPhone che utilizzano cuffie compatibili con Fast Pair sono esposti al medesimo rischio. La falla è stata segnalata a Google nell'agosto 2025 e classificata come critica con il codice CVE-2025-36911. I ricercatori sottolineano che i dispositivi vulnerabili hanno superato sia i controlli di qualità dei produttori sia il processo di certificazione di Google, evidenziando una falla nella catena di verifica della sicurezza a livello industriale.

Strategie di difesa e aggiornamenti

⬆ Torna su La protezione efficace da WhisperPair richiede interventi specifici. Aggiornare il sistema operativo dello smartphone, sia Android che iOS, non risolve il problema alla radice. Anche il ripristino delle impostazioni di fabbrica delle cuffie non è risolutivo, in quanto rimuove solo gli accoppiamenti esistenti senza correggere il difetto del codice. L'unica difesa reale consiste nell'aggiornamento del firmware dell'accessorio vulnerabile. Sebbene molti produttori abbiano rilasciato patch per i dispositivi interessati, gli aggiornamenti potrebbero non essere ancora disponibili per tutti i modelli vulnerabili. I ricercatori consigliano di verificare la disponibilità delle patch direttamente con il produttore e di mantenere aggiornati firmware e app ufficiali per controllare le connessioni attive. Per gli utenti che hanno già associato correttamente gli auricolari al proprio account Google e mantengono i dispositivi aggiornati, il rischio risulta significativamente ridotto.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.geopop.it/auricolari-bluetooth-sotto-attacco-per-la-falla-whisperpair-cosa-rischiamo-e-come-difenderci/
• https://www.greenme.it/scienza-e-tecnologia/auricolari-bluetooth-attenzione-ricercatori-scoprono-la-falla-che-puo-spiarti-a-tua-insaputa-soprattutto-se-hai-questi-modelli/
• https://www.corriere.it/tecnologia/26_gennaio_18/i-ricercatori-hanno-scoperto-una-falla-negli-auricolari-bluetooth-che-permette-di-localizzare-l-utente-e-ascoltarne-le-cd258416-0b9c-4c43-b91b-3a17446a5xlk.shtml